题 如何阻止人们使用我的域名发送垃圾邮件? [重复]


这个问题在这里已有答案:

我收到Mailer Daemon消息,说某些电子邮件失败了。我的域名是 itaccess.org 由Google应用管理。有什么方法可以确定谁从我的域发送电子邮件,以及他们如何在没有我为他们创建帐户的情况下这样做?

Delivered-To: 7e949ba@itaccess.org
Received: by 10.142.152.34 with SMTP id z34csp12042wfd;
        Wed, 8 Aug 2012 07:12:46 -0700 (PDT)
Received: by 10.152.112.34 with SMTP id in2mr18229790lab.6.1344435165782;
        Wed, 08 Aug 2012 07:12:45 -0700 (PDT)
Return-Path: <whao@www20.aname.net>
Received: from smtp-gw.fsdata.se (smtp-gw.fsdata.se. [195.35.82.145])
        by mx.google.com with ESMTP id b9si24888989lbg.77.2012.08.08.07.12.44;
        Wed, 08 Aug 2012 07:12:45 -0700 (PDT)
Received-SPF: neutral (google.com: 195.35.82.145 is neither permitted nor denied by best guess record for domain of whao@www20.aname.net) client-ip=195.35.82.145;
Authentication-Results: mx.google.com; spf=neutral (google.com: 195.35.82.145 is neither permitted nor denied by best guess record for domain of whao@www20.aname.net) smtp.mail=whao@www20.aname.net
Received: from www20.aname.net (www20.aname.net [89.221.250.20])
    by smtp-gw.fsdata.se (8.14.3/8.13.8) with ESMTP id q78EChia020085
    for <7E949BA@itaccess.org>; Wed, 8 Aug 2012 16:12:43 +0200
Received: from www20.aname.net (localhost [127.0.0.1])
    by www20.aname.net (8.14.3/8.14.3) with ESMTP id q78ECgQ1013882
    for <7E949BA@itaccess.org>; Wed, 8 Aug 2012 16:12:42 +0200
Received: (from whao@localhost)
    by www20.aname.net (8.14.3/8.12.0/Submit) id q78ECgKn013879;
    Wed, 8 Aug 2012 16:12:42 +0200
Date: Wed, 8 Aug 2012 16:12:42 +0200
Message-Id: <201208081412.q78ECgKn013879@www20.aname.net>
To: 7E949BA@itaccess.org
References: <20120808171231.CAC5128A79D815BC08430@USER-PC>
In-Reply-To: <20120808171231.CAC5128A79D815BC08430@USER-PC>
X-Loop: whao@whao.se
From: MAILER-DAEMON@whao.se
Subject: whao.se:  kontot avstängt - account closed
X-FS-SpamAssassinScore: 1.8
X-FS-SpamAssassinRules: ALL_TRUSTED,DCC_CHECK,FRT_CONTACT,SUBJECT_NEEDS_ENCODING

    Detta är ett automatiskt svar från F S Data - http://www.fsdata.se

    Kontot för domänen whao.se är tillsvidare avstängt.
    För mer information, kontakta info@fsdata.se

    Mvh,
    /F S Data

    -----

  This is an automatic reply from F S Data - http://www.fsdata.se

  The domain account "whao.se" is closed.
  For further information, please contact info@fsdata.se

  Best regards,
  /F S Data

105
2017-08-08 14:17




如果您希望进一步在网上搜索该问题,则会调用此类电子邮件滥用的常用术语 Joe Job。 - Oliver
问题不在于某人声称是你(你的域名),而是有人(其他人)相信他们。如果我向你发送电子邮件声称它是来自巴拉克奥巴马,你会相信我吗?当然不是。你正在“反向散射”。抱怨那些接受了欺骗性电子邮件(“乔工作”)并接受来自地址的人。但是,只有当您的域提供SPF记录以显示唯一有效邮件的来源(地址,主机)时,才能执行此操作。 - Skaperen


答案:


由于尚未明确说明,我将陈述。

没有人使用您的域名发送垃圾邮件。

他们使用欺骗性的发件人数据生成一封类似于您的域名的电子邮件。这就像在邮件上放一个假的回邮地址一样简单,所以不,没有办法阻止它。 SPF(如建议的那样)可以使其他邮件服务器更容易识别电子邮件 其实 来自您的域名和电子邮件不是,但就像您不能阻止我将您的邮政地址作为我邮寄的所有死亡威胁的返回地址,您不能阻止某人将您的域名作为回复 - 解决他们的垃圾邮件。

SMTP的设计并不是安全的,事实并非如此。


137
2017-08-08 15:10



+1邮政邮件类比。这是我经常与非技术人员一起使用的那个。没有人必须闯进你的房子,发送一封带有你的回邮地址的邮件。他们只需要能够将其放入邮箱。 - Evan Anderson
您可能希望明确链接到答案,而不是仅仅说“按建议” - Thorbjørn Ravn Andersen
真?你是那个发送所有死亡威胁的人?!? :) - John Robertson
有趣的是,我与之合作的每个人,以及这里的每个人,总是使用名副其实的barakobama@whitehouse.gov示例。 - Captain Hypertext
更确切地说,你应该说:没有人使用你的(域)服务器发送垃圾邮件。因为他们确实使用域,即作为FROM-address。当然,SPF根本不是障碍,因为发送方将使用不执行SPF检查的跳跃服务器。解决方案很简单:TO-address的负责服务器应该拒绝450到服务器发送邮件,而不是将DSN发送到负责FROM-address的服务器 - roothahn


SMTP(用于传输邮件的协议)的性质是不对电子邮件中列出的发件人地址进行验证。如果您要发送似乎来自的电子邮件 president@whitehouse.gov......你可以继续这样做,在很多情况下,没有人可以阻止你。

话虽如此,如果你建立 SPF记录 对于您的域名,接收系统更有可能将伪造的电子邮件识别为垃圾邮件。 SPF记录标识允许为您的域发起邮件的系统。并非所有接收系统都关注SPF记录,但较大的电子邮件提供商将使用此信息。


100
2017-08-08 14:23



特别是对于Google Apps,您可以关注 这些步骤。 - MichaelHouse
我此刻也有这个问题,我的SPF记录是正确的。不幸的是,许多大型邮件提供商忽略了SPF记录。包括像雅虎这样的杰出人物。 :-( - staticsan
不要忘记DomainKeys。 DKIM。 - desbest


我赞同已经给出的关于SPF的答案(+1,你们每个人!)但是请注意,如果你决定这样做 - 这是一个好方法 - 那里有 没有意义 除非你识别并做广告,否则这样做 所有 被批准为您的域发送电子邮件的主机,并且难以禁止所有其他人使用 -all

不仅会 ?all 和 ~all 没有预期的效果,但SF上的一些邮件管理员认为它们是一个积极垃圾邮件发件人域名的标志。


35
2017-08-08 14:48



Google针对使用Google Apps发送邮件的域创建SPF条目的指导:“发布使用-all而不是〜all的SPF记录可能会导致传递问题。” - Ariel
是的,它可能, 这就是它的全部意义。只要您详尽地列出了可能合法发送邮件的主机, 您希望所有其他主机都有交付问题;如果你有问题,问题只会影响到你 失败 列出所有有效的发送主机,这就是谷歌所指的内容。请参阅Chris S的评论 serverfault.com/questions/374452/... 对于一个反对无用的管理员的例子(缺乏一个 -all)SPF记录。 - MadHatter
但如果你使用 -all,任何人使用 邮件转发 不会收到邮件。我相信人们仍然使用邮件转发(他们是否应该使用它是另一个问题) - netvope
你是绝对正确的,但这就是SRS(发件人重写系统)的用途。我认为应该理解SPF和简单(非SRS)转发是相互排斥的,管理员应该选择一个,而不是如果你只是改变你仍然可以使用SPF和简单转发 -all 例如 ~all。这根本就不是使用SPF。 - MadHatter
邮件管理员可能正在使用 -all,但这些天每个共享主机都包含电子邮件。完全失败被认为是错误配置,在软故障时不应该认真对待。这就是为什么在分析大量垃圾邮件和SPF使用后,SpamAssassins默认的SPF_SOFTFAIL分数高于默认的SPF_FAIL。 DMARC究竟出了什么问题?如果您的邮件列表受DMARC策略影响,则说明您的邮件群发未正确配置。它可以更好地控制您的SPF并提供反馈报告。您告诉所有雅虎用户他们不会收到您的批量邮件? - J.Money


发件人政策框架 (SPF)可以提供帮助。它是一个电子邮件验证系统,旨在通过验证发件人IP地址来防止垃圾邮件。 SPF允许管理员通过在域名系统(DNS)中创建特定的SPF记录(或TXT记录)来指定允许哪些主机从给定域发送邮件。邮件交换器使用DNS来检查来自给定域的邮件是由该域管理员批准的主机发送的。


20
2017-08-08 14:22





在这个特定的例子中,它看起来不像SPF会有所帮助。一台困扰检查SPF记录以拒绝邮件的机器不太可能被破坏为接受不存在的域的邮件,然后决定它无法传递它并生成退回消息。如果mail-gw01.fsdata.se(接受whao.se邮件的机器)已正确退回,则您的退回邮件将来自Google SMTP服务器。

可悲的是,这种破碎的行为(接受并随后产生反弹)并不罕见。没有办法让一些随机机器假装它有一条从你的域传递的消息。关于延迟反弹,你也无法做到。

但是,您可以减少这些反弹反弹。如果7E949BA不是itaccess.org上的真实用户,因为我怀疑它可能不是,你正在收到退回消息,因为你已经启用了catch-all地址。全能意味着您的域将接受任何不存在的用户的电子邮件并将其交付给您。这主要是增加垃圾邮件和退回邮件集合的好方法。在Google Apps中,为了配置您的全能,它位于“管理此域” - >设置 - >电子邮件,大约一半。


5
2017-08-09 01:22





尚未提及的一个想法是拒绝反向散射。我见过的所有这些都是通过开放式邮件中继来实现的,并且有两个黑洞列表可能会对减少你收到的反向散射量有用。

  • 反向散射 是DNSBL,它明确列出发送反向散射和发送方标注的SMTP服务器。

  • RFC-无知 是一个DNSBL,它列出了不遵守各种重要RFC的SMTP服务器。

添加这些(以及其他几个传统上更集中的BL)减少了我收到的反向散射量超过90%。


3
2017-08-09 16:31





你所指的实际上被称为BACKSCATTER攻击。现在已经在上面解释了它实际上是什么。

怎么解决?

使用Postfix,qmail和exim等自托管解决方案可以防止反向散射,但不能使用googleapps,因为它在处理反向散射方面没有保护,而且只有SPF记录。


3
2017-08-08 20:53





正如其他答案所提到的那样,你会收到其他人的电子邮件的反弹。 SpamCop中 以前没有称这个垃圾邮件,但现在它接受报告。例如。我复制了你引用的邮件(我已经包含了我的Gmail帐户以确定我的邮件主机)并得到了 这个结果 (我取消了)。

总之,您可以使用SpamCop报告这些退回的发件人。它没有(直接)阻止问题的发起者,但它可能会减少这些反弹。


0
2017-08-09 05:10





邮件系统依赖于 From: 标题,非常容易欺骗。

例如,这个PHP代码:

mail('someone@live.com', 'Your new Outlook alias is ready to go', 'Ha ha! This is spoofed!', "From: Outlook Team<member_services@live.com>\r\n");

将发送电子邮件给 someone@live.com 假装成为Outlook团队。


-1
2017-08-08 22:19



不,它依赖于SMTP“信封”发件人(以及收件人)(在收件人中发送的) MAIL FROM 命令),它可以与From:标题完全不同。 - derobert
@derobert好的,我不知道。谢谢! - uınbɐɥs
请继续编辑您的帖子以更正它...这是使用编辑链接的众多鼓励理由之一。 - derobert